Insider Threats –
Bedrohungen durch interne und externe Mitarbeiter
Keine Cyberattacke ohne Knacken der Netzwerkgrenzen. Was liegt also näher, als dafür reguläre Anmeldeinformationen zu nutzen? Eine Option für interne, aber auch für externe Personen, die diese Daten zunächst stehlen oder erschleichen.
Die Insider-Bedrohung ist allgegenwärtig und mehr als heikel
Eine der häufigsten Ursachen für Cyber-Attacken ist die Insider-Bedrohung. Sie geht von internen und externen Mitarbeitern wie Auftragnehmern oder Lieferanten aus und kann unbeabsichtigt oder beabsichtigt sein. Die Gefahr besteht stets darin, dass reguläre oder entwendete bzw. erschlichene Anmeldeinformationen dazu missbraucht werden, um das Unternehmensnetzwerk zu schädigen oder Informationen abzuziehen.
Dass Insider – anders als Hacker – in der Regel mit den Sicherheitsrichtlinien und Verfahren der Organisation und deren Schwachstellen vertraut sind, macht die Gefahr umso heikler.
Mehr als die Hälfte der Datenschutzverletzungen und Datendiebstähle innerhalb einer Organisation resultieren aus Insider-Bedrohungen.
Verizon
Im Durchschnitt dauert es zweieinhalb Monate, um eine Insider-Bedrohung einzudämmen.
Ponemon
Zwei von drei Insider-Bedrohungen gehen auf die Fahrlässigkeit zurück.
Ponemon
Fast alle Führungskräfte haben nur ein geringes bis mittleres Vertrauen in ihre Tools für das Risikomanagement von Drittanbietern.
Deloitte
Firewalls, IDS/IPS, Endpoint Protection bieten keinen Schutz
Maßnahmen wie Firewalls, IDS/IPS (Intrusion Detection and Prevention System) und Endpoint Protection wirken nicht gegen Insider Threats: Sie bauen darauf auf, dass Angreifer Ihre Systeme von außen angreifen und dabei auffallen. Ihre Mitarbeiter jedoch agieren innerhalb Ihres Netzwerks. Cybersense Deception erkennt sie als Bedrohung, sobald sie sich außerhalb ihres üblichen Handlungsrahmens bewegen – ganz gleich, ob absichtlich oder unabsichtlich. Und da wir wissen, welche Breadcrumbs genutzt wurden, können wir die Übeltäter häufig identifizieren.
Spannen Sie ein Sicherheitsnetz gegen Insider Threats und erkennen Sie, sobald sich Mitarbeiter – absichtlich oder unabsichtlich – jenseits des üblichen Handlungsrahmens bewegen.
Jetzt Cybersense Deception entdecken!
Unbeabsichtigte Insider Threats
Fehler passieren – allen (Sicherheits-) Schulungen zum Trotz
Fahrlässigkeit
Ein typischer Fall: Mitarbeiter erhalten Phishing-Nachrichten von scheinbar bekannten Absendern, die einen bösartigen Dateianhang oder Link zu einer präparierten Webseite enthalten. Ziel der Angreifer ist es häufig, Malware auf dem Rechner der Mitarbeiter zu installieren oder den Opfern auf der gefälschten Webseite persönliche (Zugangs-) Daten zu entlocken. Oder Mitarbeiter nutzen Konten mit erweiterten Rechten, melden sich aber nicht ab und ermöglichen so den unerlaubten Zugriff auf sensible Daten. Ganz gleich, wie viele Sicherheitsschulungen Sie Ihren Mitarbeitern geben, Fehler passieren.
Fehlkonfiguration
Die einwandfreie Konfiguration der IT- und Sicherheitsinfrastruktur ist eine Herausforderung für jede Organisation: Es müssen häufig Systeme integriert oder entfernt werden, bei der Fehlersuche wird Firewall-Regelwerk geändert, aber die Dokumentation vergessen oder es werden vererbte Rechte an Gruppenmitglieder oder Nutzer vergeben, die diese gar nicht benötigen. Ebenso resultieren interne Gefahren aus falsch konfigurierten Netzwerkgeräten, die einen nicht autorisierten Datenverkehr über Netzwerkgrenzen hinaus erlauben. Oder aus Cloud-Berechtigungen, die einen öffentlichen Zugriff auf private Daten ermöglichen.
Beabsichtigte Insider Threats
Wenn Mitarbeiter vorsätzlich handeln oder Kriminelle vulnerable Netzwerke von verbundenen Unternehmen nutzen
Rechtemissbrauch durch (Ex-) Mitarbeiter
Prinzipiell kann aus jeder Person, die Zugriff auf Daten, Server oder Systeme hat, eine Insider-Bedrohung resultieren. Zum Beispiel, wenn sich diese ungerecht behandelt fühlt und infolgedessen ihrem Arbeit- oder Auftraggeber schaden will, indem sie Daten stiehlt oder Systeme kompromittiert. Außerdem können Mitarbeiter von Kriminellen angeworben werden, um Daten zu beschaffen oder den Betrieb auszuspionieren.
Fusion und Akquisition
Unternehmen, die an Fusionen und Übernahmen (M&A) beteiligt sind, müssen die Sicherheit des übernommenen Unternehmens validieren, bevor sie es mit ihrer Netzwerkinfrastruktur verbinden. Diese Validierung erfordert Sicherheitsaudits, Konfigurationsprüfungen und andere Aktivitäten. Nicht selten attackieren Angreifer Unternehmen, nachdem deren Übernahme angekündigt wurde: Sie verschaffen sich Zugang zu sensiblen Daten, um sie nach dem Netzwerkzusammenschluss zu nutzen.
Island Hopping
Bei dieser Technik attackieren Angreifer Unternehmen mit hochsicheren Infrastrukturen über verbundene Dritte. Sie greifen ihr primäres Ziel also indirekt an, zum Beispiel über weniger gut geschützte Personal-, Gehaltsabrechnungs- oder Marketingunternehmen. Haben die Kriminellen erst einmal ein Partnerunternehmen gehackt, können sie durch Phishing oder gestohlene Zugangsdaten etc. viel leichter an sensible Daten des Hauptunternehmens gelangen.
Sie haben Fragen oder wünschen eine Demo?
Wir freuen uns, von Ihnen zu hören.
Ihr Ansprechpartner
Sebastian Struwe